利用802.1x构建安全可控的宿舍网

开篇：润墨网以专业的文秘视角，为您筛选了一篇利用802.1x构建安全可控的宿舍网范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:该文从目前高校校园网发展现状出发,提出利用802.1x够构建宿舍校园网认证系统,并介绍了该系统的认证实例及效果。

关键词:802.1x;校园网;认证

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)13-3375-02

1 前言

目前国内大学校园网建设发展很快,大多数学校已完成教学、科研、图书馆、学生宿舍的网络建设。但作为校园网重要组成部分的学生宿舍网络与校园网其他部分相比,具有一些不同的要求,也是校园网建设中比较难的部分。一所综合性大学的学生公寓宿舍要容纳七八千甚至更多学生,学生公寓宿舍网络建设中需对上万个节点进行管理,这其中存在的监控、认证、计费、安全等各种问题十分复杂,解决起来难度相当大。就实现认证计费的技术实现手段看,802.1x技术是一个不错的选择,它可以很好的阻止非认证用户进入网络。本文即是对802.1x在校园宿舍网中的应用进行探讨。

2 IEEE802.lx协议概述

IEEE802.lx协议是标准化的符合IEEE802 协议集的局域网接入控制协议,其全称为基于端口的访问控制协议(Port Bass Network Access Control Protocol),能够在利用IEEE802 局域网优势的基础上提供一种对联接到局域网用户的认证和授权手段,达到接受合法用户接入,保护网络安全的目的。在802.lx协议中,必备的三个元素是Supplicant(客户端)、Authenticator(认证系统)、Authentication Server(认证服务器)。IEEE802.lx协议是非常可靠的:1) 在客户端与认证服务器交换口令信息的时候,没有将口令明文直接送到网络上进行传输,使在网络上传输的敏感信息有了更高的安全保障;2) 802.lx协议中,规定了对于已经通过认证进入网络系统的用户进行重新认证的一个机制,从策略上进一步保证了接入用户的合法性,也避免了由于用户的终端设备死机,长期占用一个开放的端口而导致的一些安全上的漏洞;3) 对于可能发生的其它一些异常情况,802.lx协议也进行了相应的定义。如与端口相对应的MAC 地址出现故障,用户终端设备故障而未响应交换机发出的重认证信息,用户终端设备与交换机之间的物理联接断开等等,都将导致用户在此后对网络资源进行访问时需要用户自己发起重新进行认证、授权操作。从而保证网络系统的安全、可靠。

与PPPOE 和web/Portal 认证相比,IEEE802.lx 是适合学生宿舍网络使用的认证方式。

3 802.1x在宿舍网的应用

3.1 宿舍网的应用特点及问题

学生是校园网络的主体,网络已成为学生学习、日常生活的一部分,宿舍区成为校园网的重要组成部分。与校园网的其他部分相比,宿舍网的主要特点[1]有:

1) 信息点多,网络规模大。一所综合性高校的学生宿舍往往要容纳七八千甚至数万学生,学生宿舍网络建设中需对上万个节点进行管理,这是园区网内部其他部分不会出现的。

2) 网络流量峰值流量非常明显,应用丰富,网络负载重,容易造成网络阻塞。

3)网络安全问题非常突出。病毒比较猖獗,对于校园网的重要网段和校园网以外的网络的攻击屡见不鲜。

4) 可网管性要求较高。为了给学生提供高质量的网络服务,满足广大学生学习和生活的需要,同时避免滥用网络带来的危害,网络管理的功能要求非常突出。

5) 网络交换设备运行环境差,接入设备端口密度高,用户设备质量良莠不齐。

6) 由于传统的以太网没有提供相应的安全防范机制,任何用户都能够不受控制地进入网络,访问网络资源,使得学生公寓网的管理难度非常大[2]。对于网络管理者来说,校园网内部学生公寓网是最难管理的,也是管理成本最高的。如果把学生公寓网直接转给一些社会ISP 经营,学生宿舍网就完全不在学校的控制掌握之中了,对于学生面对信息化大潮正确使用网络,消除网络的负面影响是有百害而无一利的。在学生公寓区建设计算机网络的目的就是让基于校园网的数字化校园延伸到学生宿舍,如果学生宿舍网外包经营,那么就不能够建设真正的数字化校园,就很难做到基于城域网或者中国教育科研网的资源共享。因此,学生公寓网的建设和管理,必须在校园网的统筹之下进行,必须作为校园网的一部分来建设,必须保证学生宿舍网可以成为数字化校园的基础网络设施平台的一部分。

3.2 利用802.1x技术组建宿舍网

根据校园网和802.1X 技术特点,我们采用以下的组网方式,如图2。

该文以H3C公司的E126A交换机为例,说明802.1x认证的相关设置。

1) 配置Radius认证策略和域

radius scheme sushe 配置Radius域为1

primary authentication 211.83.192.30 1812 Radius认证服务器IP地址及端口

accounting optional Radius 计费服务器可选

key authentication xxxxxx 认证密钥

user-name-format without-domain 用户名格式(无域名)

radius-scheme sushe 应用上面配置的Radius认证策略

domain default enable sushe 配置sushe域为缺省认证域802.1x

2) 配置802.1x认证

dot1x 全局启动802.1x认证

dot1x authentication- method eap 配置EAP透传模式的认证方式

dot1x interface Ethernet 0/2 to Ethernet 0/24 在端口0/2～0/24启动802.1x认证注: 级联端口不用启动802.1x认证

3) Radius 服务器配置

接入服务器地址: E126A交换机的IP地址

密码: xxxxxx

4 802.1x应用效果

1) 局域网中不少网络威胁来自内部,内部安全防护非常重要,通过802.1X 可以做到真正的授权访问。

2) 私设DHCP服务器会影响到其所在的二层网络里面的计算机获取正确的IP 地址,造成用户无法上网。启用802.1x功能以后,802.1X认证客户端如果发现不是从合法的DHCP服务器处获取的IP地址,就会断开连接并且重新认证,直至从合法的DHCP服务器获取IP地址。同时,802.1X 客户端会向认证服务器发出警告信息、私设DHCP SERVER信息,包括IP地址和MAC地址报告给系统管理员。

3) 通过802.1X认证,安全有效的验证身份。用户通过用户名、密码验证,才把相应交换机端口打开,并且分配IP地址生效,非法用户则无法登陆校园网络。同时将多次恶意尝试登陆的用户加入到黑名单内。并且记录IP地址及上网记录,可以方便查找用户上网明细行为,对非法用户可以准确定位和进一步的处理。同时限制用户的访问权限,避免学生受不法网站的侵害,防止学生由于好奇或无意中对校内重要服务器资源的破坏,保障正常的教学和科研及办公。

4) 同时为提供网络性能和管理的方便,我们利用802.1x结合VLAN技术,把整个认证网络分成多个vlan:① 用户子网,用于用户上网;② 管理子网,用于管理设备;③ 互联子网,用于核心层和汇聚层之间设备互联。实现了多种方式的用户接入控制,确保用户安全、合法的接入网络。

5 结束语

IEEE 802.lx 这项新标准定义了为LAN 实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.lx,校园网便不再是一道敞开的门,解决了现阶段所面临的用户身份认证和应用终端的安全性问题,增强了网络安全性。802.lx 本身也成为安全架构的一个重要部分,有助于消除来自校园网内部的安全威胁。

参考文献:

[1] 彭伟.使用802.lx实现校园网认证[J].计算机应用,2003(2):21-23.

[2] 蒋海锋,苗放.802.lx标准和Radius协议的扩展应用研究[J].计算机应用,2003(6):41-42.

[3] 毕晓东,盛然.802.1X技术及在校园网中的应用[J].电脑知识与技术,2007:333-348.

唐勇(1980-),男,四川人,助理工程师,主要研究方向:计算机网络建设及应用。